Tomcat服務器安全設置第1/3頁

更新時間：2009年08月01日 15:54:19 作者：

tomcat是一個開源Web服務器，基于Tomcat的Web運行效率高，可以在一般的硬件平臺上流暢運行，因此，頗受Web站長的青睞。不過，在默認配置下其存在一定的安全隱患，可被惡意攻擊。

另外，由于其功能比較單純需要我們進一步地進行設置。本機將從安全和功能兩方面談談基于Tomcat的Web服務器的部署，希望對大家有所幫助。

　　環(huán)境描述

　　OS：Windows Server 2003

　　IP：192.168.1.12

　　Tomcat：6.0.18

　　1、安全測試

　　(1).登錄后臺

　　在Windows Server 2003上部署Tomcat，一切保持默認。然后登錄Tomcat后臺，其默認的后臺地址為：

　　http://192.168.1.12:8080/manager/html。在瀏覽器中輸入該地址，回車后彈出登錄對話框，輸入默認的用戶名admin，默認的密碼為空，成功登錄后臺。(圖1)

(2).獲得Webshell

　　在Tomcat的后臺有個WAR file to deploy模塊，通過其可以上傳WAR文件。Tomcat可以解析WAR文件，能夠將其解壓并生成web文件。我們將一個jsp格式的webshell用WinRar打包然后將其后綴改名為WAR(本例為gslw.war)，這樣;一個WAR包就生成了。最后將其上傳到服務器，可以看到在Tomcat的后臺中多了一個名為/gslw的目錄，點擊該目錄打開該目錄jsp木馬就運行了，這樣就獲得了一個Webshell。(圖2)

(3).測試操作

　　創(chuàng)建管理員

　　Tomcat服務默認是以system權限運行的，因此該jsp木馬就繼承了其權限，幾乎可以對Web服務器進行所有的操作。比如啟動服務、刪除/創(chuàng)建/修改文件、創(chuàng)建用戶。我們以創(chuàng)建管理員用戶為例進行演示。運行jsp木馬的“命令行”模塊，分別輸入命令net user test test168 /add和net localgroup administrators test /add，這樣就創(chuàng)建了一個具有管理員權限的test用戶，其密碼為test168。(圖3)